server
|
内部交换机
|
外部交换机
|
电信接入
|
RouteOS
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
网段1-只能上内网
|
网段2-能上内外网
|
网段3-只能上外网
|
上述网络结构的优点:
1 网段1只对网段2的主机开放,并且网段2的主机在访问网段1中的资源时,不能够与外网通信,从而确保了内网的安全性,这实现了物理的隔离。
上述网络结构的缺点:
1 网段1只能通过修改硬件连接才能够上外网,网段3只能通过修改硬件连接才能上内网,也就是说该网络结构的可配置性不高。
2 网段1中的机器和服务器的杀毒软件将不能直接得到更新。
3 外部服务器与内部服务器的数据一致性没有得到解决。
解决方案如下:
Server
内部
|
内部交换机
|
外部交换机
|
电信接入
|
RouteOS
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
1
|
2
|
3
|
4
|
网段1-只能上内网
|
网段2-能上内外网
|
网段3-只能上外网
|
Server外部
|
内部网卡
|
外部网卡
|
防火墙
|
在上面的结构图中
给外部服务器配备两个网卡,一个外部网卡,供服务器与外部通信使用,用户从外面的Internet访问我们的外部服务器时,就通过这个网卡通信.还有一个内部网卡,供服务器与内网通信使用。这个网卡供外部服务器使用内部服务器上的数据库时使用.也可以在这个网卡上开设代理服务,这样就可以解决我们前面提到的1,2两个问题:
内网的机器可以升级病毒库,内网的机器可以通过临时配置来上外网。
但是,这样改进的代价是:部分取消了物理隔离。我们的内部服务器不如前面安全了。所以我们在内外服务器中间再加上一个防火墙。已达到一个折衷解决方案。
解决方案2:
电信接入
|
路由器(RouteOS 或则 Linux+iptables)
|
交换机1
|
网段1-只能上内网
|
Server
外部
|
交换机2
|
网段2-能上内外网
|
交换机3
|
网段3-只能上外网
|
网卡1
|
网卡2
|
网卡3
|
网卡0
|
Server
内部
|
配置:
1 网卡1上配置成只允许内部server与网段2的主机和外部server通信,也就是说网卡1只能与网卡2通信,这样就实现了物理隔离。
2 网卡2上配置成允许网段2上的主机和网段1中的server通信以及与Internet通信。
3 网卡3配置成允许网段3上的主机只能通过网卡0访问Internet,而不能访问网段1和
网段2。
上面结构的优缺点
优点:
1 所有的网段可以动态配置,通过配置路由器,各个网段可以突破现有的限制,网段1可以上外网,网段3可以上内网。
2 网段2的机器可以同时上内外网,方案1中的网段2同一时刻只能上一个网,并且需要修改操作系统的配置才可以,而现在的方案则不需要。
3 可以解决内外部服务器间的数据实时一致性问题
4 结构较清晰简单
缺点:
1 路由器配置复杂,需要购买新的网卡并配置